클러스터의 보안 설정 업데이트 - Amazon Managed Streaming for Apache Kafka
를 사용하여 클러스터의 보안 설정 업데이트 AWS Management Console를 사용하여 클러스터의 보안 설정 업데이트 AWS CLIAPI를 사용하여 클러스터의 보안 설정 업데이트

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

클러스터의 보안 설정 업데이트

이 Amazon MSK 작업을 사용하여 MSK 클러스터의 인증 및 클라이언트-브로커 암호화 설정을 업데이트합니다. 또한 상호 TLS 인증을 위해 인증서에 서명하는 데 사용되는 사설 보안 기관을 업데이트할 수도 있습니다. 클러스터 내 (broker-to-broker) 암호화 설정은 변경할 수 없습니다.

클러스터는 보안 설정을 업데이트할 수 있는 ACTIVE 상태여야 합니다.

IAM, SASL 또는 TLS를 사용하여 인증을 활성화하는 경우 클라이언트와 브로커 간의 암호화도 활성화해야 합니다. 다음 표에는 가능한 조합이 나와 있습니다.

인증 클라이언트-브로커 암호화 옵션 브로커-브로커 암호화
Unauthenticated TLS, PLAINTEXT, TLS_PLAINTEXT 활성화되거나 비활성화된 상태일 수 있습니다.
mTLS TLS, TLS_PLAINTEXT 활성화된 상태여야 합니다.
SASL/SCRAM TLS 활성화된 상태여야 합니다.
SAL/IAM TLS 활성화된 상태여야 합니다.

클라이언트-브로커 암호화가 TLS_PLAINTEXT로 설정되고 클라이언트 인증이 mTLS로 설정된 경우 Amazon MSK는 클라이언트가 연결할 수 있는 두 가지 유형의 리스너를 생성합니다. 하나는 클라이언트가 TLS 암호화가 포함된 mTLS 인증을 사용하여 연결할 수 있는 리스너이고 다른 하나는 클라이언트가 인증이나 암호화 없이 연결할 수 있는 리스너(일반 텍스트)입니다.

보안 설정에 대한 자세한 내용은 Amazon Managed Streaming for Apache Kafka의 보안 섹션을 참조하세요.

를 사용하여 클러스터의 보안 설정 업데이트 AWS Management Console

  1. https://console.aws.amazon.com/msk/에서 Amazon MSK 콘솔을 엽니다.

  2. 업데이트하려는 MSK 클러스터를 선택합니다.

  3. 보안 설정 섹션에서 편집을 선택합니다.

  4. 클러스터에 사용할 인증 및 암호화 설정을 선택한 다음 변경 사항 저장을 선택합니다.

를 사용하여 클러스터의 보안 설정 업데이트 AWS CLI

  1. 클러스터에 적용하려는 암호화 설정이 포함된 JSON 파일을 생성합니다. 다음은 예입니다.

    참고

    클라이언트-브로커 암호화 설정만 업데이트할 수 있습니다. 클러스터 내 (broker-to-broker) 암호화 설정은 업데이트할 수 없습니다.

    {"EncryptionInTransit":{"ClientBroker": "TLS"}}

  2. 클러스터에 적용할 인증 설정이 포함된 JSON 파일을 생성합니다. 다음은 예입니다.

    {"Sasl":{"Scram":{"Enabled":true}}}

  3. 다음 AWS CLI 명령을 실행합니다.

    aws kafka update-security --cluster-arn ClusterArn --current-version Current-Cluster-Version --client-authentication file://Path-to-Authentication-Settings-JSON-File --encryption-info file://Path-to-Encryption-Settings-JSON-File

    update-security 작업의 출력은 다음 JSON과 같습니다.

    {
    
    "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
    "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef"
}

  4. update-security작업 상태를 보려면 명령 출력에서 가져온 ClusterOperationArnARN으로 대체하여 다음 명령을 실행합니다. update-security 

    aws kafka describe-cluster-operation --cluster-operation-arn ClusterOperationArn

    describe-cluster-operation 명령의 출력은 다음 JSON 예제와 같습니다.

    {
    "ClusterOperationInfo": {
        "ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea",
        "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2",
        "CreationTime": "2021-09-17T02:35:47.753000+00:00",
        "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef",
        "OperationState": "PENDING",
        "OperationType": "UPDATE_SECURITY",
        "SourceClusterInfo": {},
        "TargetClusterInfo": {}
    }
}

    OperationState 값이 PENDING 또는 UPDATE_IN_PROGRESS인 경우 잠시 기다린 다음 describe-cluster-operation 명령을 다시 실행합니다.

API를 사용하여 클러스터의 보안 설정 업데이트

API를 사용하여 클러스터의 보안 설정을 업데이트하려면 을 참조하십시오 UpdateSecurity.

참고

클러스터의 보안 설정을 업데이트하기 위한 AWS CLI 및 API 작업은 강력하지 않습니다. 즉, 보안 업데이트 작업을 호출하고 클러스터가 현재 가지고 있는 설정과 동일한 인증 또는 암호화 설정을 지정해도 해당 설정은 변경되지 않습니다.